描述

在某些情况下，Spring Framework 容易受到反射文件下载 (RFD) 攻击。该攻击涉及恶意用户精心构造一个带有批处理脚本扩展的 URL，导致响应被下载而不是渲染，并且响应中还包含一些反射的输入。

有关详细信息和具体示例，请参阅 Trustwave 提供的非常有用的RFD 论文。

受影响的 Spring 产品和版本

• Spring Framework 3.2.0 至 3.2.14
• Spring Framework 4.0.0 至 4.1.7
• Spring Framework 4.2.0 至 4.2.1
• 其他不受支持的版本也受到影响

缓解措施

受影响的 Spring Framework 版本用户应按如下方式升级

• 对于 3.2.x，升级到 3.2.15+。
• 对于 4.0.x 和 4.1.x，升级到 4.1.8+。
• 对于 4.2.x，升级到 4.2.2+。

在上述版本中，Spring MVC 在使用 HttpMessageConverter 写入之前检查 URL 是否包含文件扩展名，如果扩展名未知，则添加一个“Content-Disposition”响应头来建议下载文件名“f.txt”。默认情况下，“已知”扩展名列表包括与内置 HttpMessageConverter 实现相关的扩展名，以及为内容协商目的明确注册的任何附加扩展名。对于 4.x，此修复还包括对 SockJS URL 的 URL 检查，以及在所有支持 JSONP 的区域中对 JSONP 回调参数的验证。

简单地升级到上述版本将保护应用程序免受 RFD 攻击。还可以采取一些进一步的措施

• 对 JSON 响应进行编码而不是转义。这也是 OWASP XSS 建议。有关如何使用 Spring 执行此操作的示例，请参阅https://github.com/rwinch/spring-jackson-owasp。
• 配置后缀模式匹配以关闭或仅限于显式注册的后缀。
• 配置内容协商，将属性“useJaf”和“ignoreUknownPathExtension”设置为 false，这将导致对于具有未知扩展名的 URL 返回 406 响应。但请注意，如果 URL 自然地预期末尾带有点，这可能不是一个选项。
• 向响应添加“X-Content-Type-Options: nosniff”头。Spring Security 4 默认执行此操作。

致谢

Trustwave 在一篇论文中描述了 RFD 攻击。Spring Framework 中的问题由 HPE Security Research 的 Alvaro Muñoz 负责任地报告给 Pivotal。特别感谢...

描述

XML 外部实体已通过发布http://pivotal.io/security/cve-2013-6429被禁用。如果 DTD 未完全禁用，可以使用内联 DTD 声明执行称为 XML 炸弹的拒绝服务攻击。此类声明根据 XML 模式规则既格式良好又有效，但在解析时可能导致内存不足错误。为了防止此类攻击，必须通过将 DOM 和 SAX API 中的 disallow-doctype-dec 功能设置为 true，并通过将 StAX API 中的 supportDTD 属性设置为 false 来禁用 DTD 支持。

在 Spring Framework 中，只要框架从外部源设置 XML 解析，此操作现在都会默认执行。主要包括 spring-oxm 中的 Unmarshaller 实现和 spring-web 中的 HttpMessageConverter 实现。

请注意，应用程序可能需要采取进一步措施，尤其是在涉及使用 StAX 的情况下。例如，IBM JDK 1.6 和 1.7 除了设置 supportDTD=false 之外，还需要一个环境变量（参见 IBM JDK 参考）。此外，我们发现仅 supportDTD 无法防止所有类型的 JDK JAXP 实现的 DoS 攻击。因此，我们建议使用 Woodstox 开源库进行 StAX 解析。

以下描述了 Spring Framework 中何时使用 StAX

• SourceHttpMessageConverter -- 默认启用。该转换器在 3.2 中添加，而 StAX 支持在 4.0.1 中添加，用于转换为类型为 javax.xml.transform.stax.StAXSource 的 Spring MVC 控制器方法参数。
• Jaxb2CollectionHttpMessageConverter -- 默认不启用。此转换器在 3.2 中添加。
• MappingJackson2XmlHttpMessageConverter -- 当类路径中存在“jackson-dataformat-xml”时启用。此转换器在 4.1 中添加。

受影响的 Spring 产品和版本

• Spring Framework 3.2.0 至 3.2.13
• Spring Framework 4.0.0 至 4.1.6
• 其他不受支持的版本也受到影响

缓解措施

受影响的 Spring Framework 版本用户应按如下方式升级

• 对于 3.2.x 升级到 3.2.14+
• 对于 4.0.x 和 4.1.x 升级到 4.1.7+

此外，通过 StAX 从外部源消费 XML 输入的应用程序也应使用和/或升级到 Woodstox 库的最新版本，例如 4.2+ 版本（4.2.1 是 Spring IO Platform 中当前策展的版本）。

添加 Woodstox 的注意事项

StAX 定义了一种标准机制，用于在存在多个 StAX 实现时选择使用哪个，包括系统属性和 WEB-INF/services 下的服务定义。Woodstox 包含必要的服务定义，因此只需将其添加到类路径即可正常工作。但是，某些应用服务器（例如 WebLogic）已经捆绑了 Woodstox 的（旧版本），在这种情况下，您可能需要配置服务器以优先选择应用程序选择的版本，请参阅此有关 prefer-application-packages 的参考。

致谢

此问题由 NTT DATA 公司的 Toshiaki Maki 负责任地发现并报告给 Pivotal，他也协助开发和测试了解决方案。

参考资料

• https://jira.spring.io/browse/SPR-13136
…

描述

Java SockJS 客户端中的会话 ID 生成安全性不足，可能允许用户向其他用户的会话发送消息。

请注意，这仅影响使用 Java SockJS 客户端的用户，该客户端生成自己的会话 ID。即使浏览器客户端连接到同一服务器，它也不受影响。

此外，由于 SockJS 是传输层，当在其之上使用更高级别的消息传递协议（例如使用 spring-messaging 模块的 STOMP over WebSocket）时，应用程序级安全可能已经应用于 STOMP 消息，这可以抵消任何潜在攻击的影响。

受影响的 Spring 产品和版本

• Spring Framework 4.1.0 至 4.1.4

缓解措施

受影响版本的用户应采取以下缓解措施

• 4.1.x 的用户应升级到 4.1.5 或更高版本

致谢

Philippe Arteau 发现并负责任地将问题报告给了 Pivotal。

参考资料

• https://github.com/spring-projects/spring-framework/commit/dc5b5ca8ee09c890352f89b2dae58bc0132d6545
• https://github.com/spring-projects/spring-framework/commit/d63cfc8eebc396be009e733a81ebb4c984811f6e
…

描述

某些 URL 在使用前未正确清理，从而允许攻击者获取文件系统上可供运行 Spring Web 应用程序的进程访问的任何文件。

受影响的 Spring 产品和版本

• Spring Framework 3.0.4 至 3.2.11
• Spring Framework 4.0.0 至 4.0.7
• Spring Framework 4.1.0 至 4.1.1
• 其他不受支持的版本也可能受到影响

缓解措施

受影响版本的用户应采取以下缓解措施

• 3.2.x 的用户应升级到 3.2.12 或更高版本
• 4.0.x 的用户应升级到 4.0.8 或更高版本
• 4.1.x 的用户应升级到 4.1.2 或更高版本

致谢

此问题由 NTT DATA 公司的 Toshiaki Maki 发现并负责任地报告给了 Pivotal。

参考资料

• https://jira.spring.io/browse/SPR-12354
• https://github.com/spring-projects/spring-framework/commit/9beae9ae4226c45cd428035dae81214439324676
• https://github.com/spring-projects/spring-framework/commit/9cef8e3001ddd61c734281a7556efd84b6cc2755
• …

描述

某些 URL 在使用前未正确清理，从而允许攻击者获取文件系统上可供运行 Spring Web 应用程序的进程访问的任何文件。

受影响的 Spring 产品和版本

• 4.0.0 到 4.0.4
• 3.2.0 至 3.2.8
• 已知 3.1.1 受到影响
• 其他不受支持的版本也可能受到影响

缓解措施

受影响版本的用户应采取以下缓解措施

• 3.x 用户应升级到 3.2.9 或更高版本
• 4.x 用户应升级到 4.0.5 或更高版本

致谢

此问题由 Mitsui Bussan Secure Directions, Inc. 的 Takeshi Terada 发现，并通过 JPCERT/CC 报告给 Pivotal。发现更多版本受影响的信息...

描述

当使用 Spring Security 的 CAS 代理票据认证时，恶意 CAS 服务可能欺骗另一个 CAS 服务认证一个不相关的代理票据。这是因为代理票据认证使用了 HttpServletRequest 中的信息，而这些信息是根据 HTTP 请求中不可信的信息填充的。

这意味着，如果对哪些 CAS 服务可以相互认证存在访问控制限制，则这些限制可以被绕过。

如果用户不使用 CAS 代理票据，并且不基于 CAS 服务做出访问控制决策，则对用户没有影响。

受影响的 Spring 产品和版本

• 3.1 至 3.2.4

缓解措施

受影响版本的用户应采取以下缓解措施

• 3.2x 用户应升级到 3.2.5 或更高版本
• 3.1.x 用户应升级到 3.1.7 或更高版本

致谢

此问题由 David Ohsie 发现，并由 CAS 开发团队提请我们注意。

参考资料

• https://springjava.cn/blog/2014/08/15/cve-2014-3527-fixed-in-spring-security-3-2-5-and-3-1-7
• https://jira.spring.io/browse/SEC-2688
…

描述

在处理用户提供的 XML 文档时，Spring Framework 默认没有禁用 DTD 声明中 URI 引用的解析。这导致了 XXE 攻击。

受影响的 Spring 产品和版本

• Spring MVC 3.0.0 至 3.2.8
• Spring MVC 4.0.0 至 4.0.4
• 早期不受支持的版本可能受影响

缓解措施

受影响版本的用户应采取以下缓解措施

• 3.x 用户应升级到 3.2.9 或更高版本
• 4.x 用户应升级到 4.0.5 或更高版本

致谢

此问题由 Nebula(XIAOBAISHAN,CHIBI,HUBEI.CN) HelloWorld 安全团队、DBappsecurity.com 安全团队发现并负责任地报告给 Pivotal 安全团队。另外...

描述

Spring MVC 的 Jaxb2RootElementHttpMessageConverter 也处理用户提供的 XML，既没有禁用 XML 外部实体，也没有提供禁用它们的选项。Jaxb2RootElementHttpMessageConverter 已被修改，提供了一个选项来控制 XML 外部实体的处理，并且现在默认禁用该处理。

受影响的 Spring 产品和版本

• Spring MVC 3.0.0 至 3.2.7
• Spring MVC 4.0.0 至 4.0.1
• 早期不受支持的版本可能受影响

缓解措施

受影响版本的用户应采取以下缓解措施

• 3.x 用户应升级到 3.2.8 或更高版本
• 4.x 用户应升级到 4.0.2 或更高版本

致谢

此问题由 Spase Markovski 报告给 Spring Framework 开发人员。

参考资料

• https://jira.springsource.org/browse/SPR-11376
• https://github.com/spring-projects/spring-framework/commit/edba32b3093703d5e9ed42b5b8ec23ecc1998398#diff-1f3f1d5cdab9ac92d1ca5ec7def8f131
• https://github.com/spring-projects/spring...

描述

ActiveDirectoryLdapAuthenticator 不检查密码长度。如果目录允许匿名绑定，则它可能会错误地认证提供空密码的用户。

受影响的 Spring 产品和版本

• Spring Security 3.2.0 至 3.2.1
• Spring Security 3.1.0 至 3.1.5

缓解措施

受影响版本的用户应采取以下缓解措施

• 3.2.x 用户应升级到 3.2.2 或更高版本
• 3.1.x 用户应升级到 3.1.6 或更高版本

致谢

此问题由 Spring 开发团队发现。

参考资料

• https://jira.springsource.org/browse/SEC-2500
• https://github.com/spring-projects/spring-security/commit/88559882e967085c47a7e1dcbc4dc32c2c796868
• https://github.com/spring-projects/spring-security/commit/7dbb8e777ece8675f3333a1ef1cb4d6b9be80395
• …

描述

当程序员未在 Spring 表单上指定 action 时，Spring 会自动使用请求的 URI 填充 action 字段。攻击者可以利用这一点向表单注入恶意内容。

受影响的 Spring 产品和版本

• Spring MVC 3.0.0 至 3.2.7
• Spring MVC 4.0.0 至 4.0.1
• 早期不受支持的版本可能受影响

缓解措施

受影响版本的用户应采取以下缓解措施

• 3.x 用户应升级到 3.2.8 或更高版本
• 4.x 用户应升级到 4.0.2 或更高版本

致谢

此问题由 CAaNES LLC 的 Paul Wowk 发现并负责任地报告给 Pivotal 安全团队。

参考资料

• https://jira.springsource.org/browse/SPR-11426
• https://github.com/spring-projects/spring-framework/commit/741b4b229ae032bd17175b46f98673ce0bd2d485
• https://github.com/spring-projects/spring...